samedi, septembre 19

Comment Google détecte les applications Android contenant des logiciels malveillants

16

Google a expliqué dans son blog pour les développeurs le processus qu’il suit pour localiser les logiciels malveillants dans les applications Android.

A lire en complément : Si vous avez un Leagoo, un Doogee ou un autre smartphone de marque peu connu, vous pourriez être infecté par un malware dangereux.

Dans cette publication, Megan Ruthven, experte en logiciels, parle du protocole Android Verify Apps, qui est utilisé pour déterminer quelles applications potentiellement nuisibles sont installées sur un appareil, et ce qui se passe quand un appareil cesse de communiquer avec lui.

Vérifier les applications est une fonction de sécurité qui analyse périodiquement les applications téléchargées à partir du Play Store pour s’assurer qu’elles ne sont pas dangereuses, mais Ruthven précise que parfois les téléphones ou tablettes cessent d’interagir avec elle. Parfois, cela se produit parce que l’appareil est passé à une vie meilleure, par exemple parce que l’utilisateur a cessé de l’utiliser, mais d’autres fois, c’est parce que des logiciels malveillants ont été installés.

A voir aussi : Europol s'attend à une deuxième vague de cyber-attaque de rançon à partir de lundi

Lorsqu’un appareil cesse de communiquer avec Verify Apps, l’appareil est considéré comme mort ou non sécurisé (DOI). Une application qui a été téléchargée par un pourcentage élevé de périphériques DOI est une application de type DOI. L’inverse est également vrai, si un appareil continue à communiquer avec Verify App après avoir téléchargé une application, cette application est considérée comme un type “hold”.

Android attribue un score DOI aux applications en fonction du nombre total de périphériques qui ont téléchargé l’application, du nombre de périphériques conservés qui ont téléchargé l’application et de la probabilité qu’un périphérique télécharge une application qui sera conservée. Sur la base de ce score, Google détermine si une application est ou non une menace.

C’est la formule mathématique utilisée par l’équipe de sécurité Android :

N = Nombre de périphériques ayant téléchargé l’application
x = Nombre de périphériques conservés ayant téléchargé l’application
p = Probabilité qu’un périphérique télécharge une application qui sera conservée.
Z = score DOI

Si le score DOI est inférieur à “-3,7”, cela signifie qu’un grand nombre de périphériques ont cessé de communiquer avec Verify Apps après avoir installé l’application en question. Google combine ce score avec “d’autres informations” pour déterminer s’il est réellement nocif, avant d’entreprendre toute action telle que la suppression des installations actuelles ou futures.

Ruthven explique que la mise en œuvre de ce processus de sécurité a contribué à la découverte d’applications contenant des logiciels malveillants tels que Hummingbad, Ghost Push et Gooligan.

Inscrivez-vous à notre newsletter

Inscrivez-vous à notre newsletter

Joignez-vous à notre liste de diffusion pour recevoir les dernières nouvelles et mises à jour de notre équipe.

You have Successfully Subscribed!